伊势 2.0 - Understanding 政策 和 Configuring Dot1x

我将逐步介绍dot1x用于有线和无线访问的最精准双色球预测专家创建。如前一篇文章所述,我将使用PEAP-EAP-TLS,但是可以使用许多不同的方法。我还将基于用户角色配置差异化访问,以演示ISE的一些可能性。

伊势最精准双色球预测专家创建的逻辑非常简单。有一条身份验证最精准双色球预测专家说,如果主机试图通过某种方法(例如dot1x,MAB等)进行身份验证,则可以使用某些身份存储。身份验证仅验证正在连接的用户或端点,但不授权他们进行任何操作。它必须与一个授权最精准双色球预测专家绑定在一起,该最精准双色球预测专家基本上说基于某些条件(即AD组,域PC,终结点类型,这些因素的组合)然后赋予它一定级别的访问权限(智能端口配置,VLAN) ,dACL等)。

考虑这些政策的最简单方法是:

如果 <condition> 然后 <result>

对于身份验证,它是:

如果  <Authentication Type> 然后 <Use Identity Store> 

对于授权,它是:

如果 <用户和/或端点满足这些条件> 然后 <授予此级别的访问/结果>

 

要开始构建最精准双色球预测专家,我们将必须创建允许在最精准双色球预测专家中使用的协议列表。由于我们正在编写dot1x最精准双色球预测专家,因此我们将根据配置最精准双色球预测专家的方式指定允许的EAP类型。如果使用默认值,则几乎可以允许大多数EAP类型进行身份验证,如果需要锁定访问权限,则可能不希望使用这种类型。

 Navigate to 政策>Policy Elements>Results>Authentication>Allowed Protocols 然后点击 :


在此“允许的协议”列表上,为您指定任何有意义的名称。在这种情况下,我将自己的命名为PEAP-EAP-TLS,并且未选中所有框,除了EAP-TLS(在以后的最精准双色球预测专家中用于BYOD)和使用EAP-TLS和MS-CHAPv2的PEAP(在以后的最精准双色球预测专家中)作为内部方法:

Create another 允许的协议 List named 主机查找 只要 选中复选框 进程主机查找 并取消选中其他所有内容。

接下来,我们将在最精准双色球预测专家中配置dACL的使用。这些是可下载的ACL,仅在会话的生存期内存在于NAD上。如果用户或端点断开连接,则会话结束后,它将不存在于NAD配置中。它们是真正可移植且可分解的ACL。 

导航 政策>Policy Elements>Results>Authorization>Downloadable ACLs 然后点击 。我将创建以下DACL:

名称: 仅限计算机
ACL:
允许udp any eq bootpc any eq bootps
允许udp任何任何eq域
允许ip任何主机10.1.100.40
拒绝任何ip

名称: 仅WLC
ACL:
允许udp any eq bootpc any eq bootps
允许udp任何任何eq域
允许ip任何主机10.1.100.41
拒绝任何ip

名称: 仅限员工
ACL:
允许udp any eq bootpc any eq bootps
允许udp任何任何eq域
允许ip任何主机10.1.100.21
允许ip任何主机10.1.100.40
拒绝IP主机10.1.10.3
拒绝ip任何10.1.100.0 255.255.255.0
允许任何IP

名称: 来宾
ACL:
允许udp any eq bootpc any eq bootps
允许udp任何任何eq域
允许ip任何主机10.1.100.21
允许ip任何主机10.1.100.40
拒绝ip any 10.0.0.0 255.0.0.0
拒绝ip any 172.16.0.0 255.240.0.0
拒绝ip任何192.168.0.0 255.255.0.0
允许任何IP

名称: 管理访问
ACL:
允许任何IP

 

接下来要做的就是创建我的授权配置文件。这些配置文件用作我上面提到的授权最精准双色球预测专家逻辑的“结果”部分。授权配置文件中一些更常用的属性是:

  • 达克
  • 虚拟局域网
  • 语音域权限
  • 姿势发现
  • Centralized Web 认证方式
  • 自动SmartPort
  • 过滤器ID
  • 重新认证
  • MACSec 政策
  • 整齐
  • Local Web 认证方式
  • 无线控制器ACL
  • 作为一个 虚拟专用网


您可以在授权配置文件中选择和配置很多选项,我可能会在以后的文章中更详细地介绍它们,但现在,我将使用典型企业中常见的一些常用属性环境,例如DACL,VLAN分配等。

要创建我们的授权配置文件,我将导航到 政策>Policy Elements>Results>Authorization>授权资料 然后点击 .

在创建授权配置文件的过程中,通常会创建一个授权配置文件,以便在可能的情况下同时用于有线和无线最精准双色球预测专家。 

名称: 仅广告

  • 检查一下 达克名称 然后选择 仅限计算机 从下拉菜单中。这是用于有线访问
  • 检查一下 虚拟局域网 然后选择ID /名称 50
  • 选中旁边的框 Airespace ACL Name 然后输入 仅限计算机 <-这是我们之前在WLC中配置的ACL。如我在上一篇文章中所述,无线控制器不支持dACL,因此我们必须让WLC知道在本地使用哪个ACL。

名称: 来宾访问

  • 检查一下 达克名称 然后选择 来宾 从下拉菜单
  • 检查一下 虚拟局域网 然后选择ID /名称 70
  • 选中旁边的框 Airespace ACL名称 然后输入 来宾

名称: 管理访问

  • 检查一下 达克名称 然后选择 管理访问
  • 检查一下 虚拟局域网 然后选择ID /名称 50
  • 选中旁边的框 Airespace ACL名称 然后输入 管理访问

名称: 仅WLC <-这将在以后的文章中用于我们的配置文件政策

  • 检查一下 达克名称 然后选择 仅WLC
  • 检查一下 虚拟局域网 然后选择ID /名称 100

接下来要配置的是我们最精准双色球预测专家的授权条件。这些基于规则的条件构成了ISE最精准双色球预测专家的基础。一个简单的条件包括一个属性,运算符和一个值。 复合条件通常由两个或多个简单条件组成。大多数情况下,您的ISE最精准双色球预测专家是根据复合条件构建的。

您可以在最精准双色球预测专家页面中创建条件,也可以将其创建为单独的最精准双色球预测专家元素,以供其他类型的ISE最精准双色球预测专家重用。为了对最精准双色球预测专家进行故障排除,通常最好在最精准双色球预测专家集本身上创建条件,但要使最精准双色球预测专家更具可读性和整洁性,则创建可重用条件会更好。您必须确定哪种方法对您来说是“正确的”,但我个人认为这两种方法都不是错误的方法。 

在我的实验室中,我将创建可重复使用的复合条件,以便以后在我的最精准双色球预测专家中使用。老实说,我可能不会在生产中采用这种方式,因为我想查看我的最精准双色球预测专家并查看我所有用于故障排除的条件,但这是一个实验室,我只是使其看上去像可能。 

要创建可重用的最精准双色球预测专家条件,请导航至 政策>Policy Elements>Authorization>Compound Conditions 然后点击 .

我将创建以下复合条件:

名称: 有线机器DOT1X
条件:
半径:服务类型等于 裱框
半径:NAS端口类型等于 乙太网路
ad1:ExternalGroups相等 域计算机
网络访问:EapTunnel等于 行动计划 <-这是指定外部身份验证方法为PEAP
网络访问:EapAuthentication等于 EAP-TLS <-这将内部身份验证方法指定为EAP-TLS

名称: 有线管理DOT1X
条件:
半径:服务类型等于 裱框
半径:NAS端口类型等于 乙太网路
ad1:ExternalGroups等于 域管理员
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

名称: 有线员工DOT1X
条件:
半径:服务类型等于 裱框
半径:NAS端口类型等于 乙太网路
ad1:ExternalGroups等于 雇员
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

名称: 有线供应商-DOT1X
条件:
半径:服务类型等于 裱框
半径:NAS端口类型等于 乙太网路
ad1:ExternalGroups等于 供应商
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

名称: 无线机器-DOT1X
条件:
半径:被叫站号结尾 安全实验室公司 <-如果您还记得配置WLC时,我们在AAA RADIUS服务器配置中将被叫站ID指定为AP Mac地址:SSID。因此,我们可以从RADIUS请求中拉出端点所连接的SSID,并据此制定最精准双色球预测专家。由于被叫站ID也包括AP MAC地址,因此您要确保在此处指定“ Ends With”(结束于),否则条件将失败。
半径:NAS端口类型等于 无线-IEEE 802.11
ad1:ExternalGroups等于 域计算机
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

名称: 无线管理员DOT1X
条件:
半径:被叫站号结尾 安全实验室公司
半径:NAS端口类型等于 无线-IEEE 802.11
ad1:ExternalGroups等于 域管理员
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

名称:
条件:
半径:被叫站号结尾 安全实验室公司
半径:NAS端口类型等于 无线-IEEE 802.11
ad1:ExternalGroups等于 雇员
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

名称: 无线供应商-DOT1X
条件:
半径:被叫站号结尾 安全实验室公司
半径:NAS端口类型等于 无线-IEEE 802.11
ad1:ExternalGroups相等 供应商
网络访问:EapTunnel等于 行动计划
网络访问:EapAuthentication等于 EAP-TLS

 

现在,我将根据先前创建的元素创建最精准双色球预测专家。导航 政策>Policy Sets 然后点击 + 在左侧创建新的最精准双色球预测专家集。

这就是我喜欢的最精准双色球预测专家集。我可以按类型(有线,无线,VPN等)来组织我的最精准双色球预测专家,并使其保持尽可能的干净。如果要基于设备组创建不同的最精准双色球预测专家,这还可以帮助您使其尽可能干净。 

对于我的最精准双色球预测专家集,我将为无线dot1x创建它,因此我将其命名为 WirelessDot1x。由于我在ISE部署中使用最精准双色球预测专家集,因此需要创建一个或多个顶级条件才能使用此最精准双色球预测专家集。对于顶级条件,我将选择以下内容:
设备:设备类型等于 无线控制器
半径:被叫站号以 安全实验室公司 [或者,您也可以使用现有的简单条件 WirelessDot1x]

在“身份验证最精准双色球预测专家”下,单击默认最精准双色球预测专家旁边的箭头,然后选择 在上方插入新行。最精准双色球预测专家逻辑很简单:如果为{condition},则为{result}。对于身份验证最精准双色球预测专家,它是针对此身份验证最精准双色球预测专家创建的以下最精准双色球预测专家:

名称: Dot1x-如果 Wireless_802.1x (从库添加条件>Compound Condition -这是现有库中的预建条件)
然后 允许的协议: 行动计划-EAP-TLS (我们之前创建的允许的协议列表)

此时,我将单击“操作”向下箭头,然后选择“在下面插入行”。这是我将更详细地说明我的规则和条件的地方。我将添加以下行:

名称: 广告证书 如果 网络访问:身份验证方法 等于 x509_PKI 证书:主题备用名称 包含 securitydemo.net then use AD_CA_AltName <-仅向用户指定此身份验证的CA。

名称: BYOD证书,如果 网络访问:身份验证方法 等于 x509_PKI 然后使用 Cert_CommonName <-这指定使用BYOD证书

默认: Ad1 <-广告作为此规则集的统包

默认规则,我将其更改为使用 ALL_IDENTITY_SEQ 我们先前创建的序列。在生产环境中,您可能会对此进行更多锁定。

接下来,我将创建授权最精准双色球预测专家,然后单击“默认最精准双色球预测专家”旁边的箭头,然后选择 在上方插入新行。最精准双色球预测专家逻辑仍与上述相同。在此最精准双色球预测专家中,我将按以下顺序创建以下最精准双色球预测专家:
 

规则名称: 仅限计算机
如果:任由
条件): 从库中选择条件>Compound Conditions>无线机器-DOT1X
然后: 标准>AD-ONLY

规则名称: IT管​​理员访问
如果:任由
条件): 从库中选择条件>Compound Conditions>WIRELESS-ADMIN-DOT1X
然后: 标准>ADMIN-ACCESS

规则名称: 员工访问
如果:任由
条件): 从库中选择条件>Compound Conditions>
然后: 标准>EMPLOYEE-ACCESS

规则名称: 供应商访问
如果:任由
条件): 从库中选择条件>Compound Conditions>无线供应商-DOT1X
然后: 标准>GUEST-ACCESS

请点击 保存最精准双色球预测专家集。

我们可以通过导航到 运作方式>RADIUS Livelog。您可以拥有一台已加入域的测试计算机,并且该证书具有从组最精准双色球预测专家中下推的证书。如果一切正常,由于组最精准双色球预测专家在无线NIC上设置了dot1x最精准双色球预测专家,并告诉计算机自动看到SSID,因此应该可以看到它自动在无线网络上跳跃并被接受。根据您以哪个AD用户身份登录,您应该看到用户分配的其他授权配置文件:

现在尝试以用户身份注销计算机,但保持计算机电源打开。如果一切都配置正确,则应该基于AD-ONLY授权配置文件为计算机授予访问权限,这意味着该计算机只能在身份验证/ GPO /修补/等方面访问AD,就像您希望在生产环境中拥有的那样:

 

现在,我们将创建另一个最精准双色球预测专家集,该最精准双色球预测专家集将对有线访问执行相同的操作。导航 政策>Policy Sets 然后点击 + 创建一个新的最精准双色球预测专家集。这次我要命名 有线 并使其符合以下顶级条件:
设备类型等于 开关
NAS端口类型等于 乙太网路

 

根据身份验证最精准双色球预测专家,我们将为MAB创建一个最高条件。稍后将在进行概要分析和其他操作时派上用场:
名称: 有线MAB
如果条件: 选择现有条件>Compound Condition>Wired_MAB
允许的协议: 主机查找
使用: 内部端点 并且如果找不到用户 继续

我将在MAB最精准双色球预测专家下为dot1x创建另一个身份验证最精准双色球预测专家规则。身份验证最精准双色球预测专家为:

名称: 有线Dot1x
如果条件: 从库中选择现有条件>Compound Conditions>Wired_802.1x
允许的协议: 行动计划-EAP-TLS

此时,我将单击“操作”向下箭头,然后选择“在下面插入行”。这是我将更详细地说明我的规则和条件的地方。我将添加以下行:

名称: 广告证书 如果 网络访问:身份验证方法 等于 x509_PKI 证书:主题备用名称 包含 securitydemo.net then use AD_CA_AltName <-仅向用户指定此身份验证的CA。

名称: BYOD证书,如果 网络访问:身份验证方法 等于 x509_PKI 然后使用 Cert_CommonName <-这指定使用BYOD证书

默认: Ad1 <-广告作为此规则集的统包

默认规则,我将其更改为使用 ALL_IDENTITY_SEQ 我们先前创建的序列。在生产环境中,您可能会对此进行更多锁定。

 

转到授权最精准双色球预测专家,我将创建以下最精准双色球预测专家规则:

规则名称: 仅限计算机
如果:任由
条件): 从库中选择条件>Compound Conditions>WIRED-MACHINE-DOT1X
然后: 标准>AD-ONLY

规则名称: IT管​​理人员
如果:任由
条件): 从库中选择条件>Compound Conditions>WIRED-ADMIN-DOT1X
然后: 标准>ADMIN-ACCESS

规则名称: 员工访问
如果:任由
条件): 从库中选择条件>Compound Conditions>WIRED-EMPLOYEE-DOT1X
然后: 标准>EMPLOYEE-ACCESS

规则名称: 供应商访问
如果:任由
条件): 从库中选择条件>Compound Conditions>WIRED-VENDOR-DOT1X
然后: 标准>GUEST-ACCESS

编者注:忽略CiscoAP规则。这是我的分析政策的一部分,我将在稍后显示

请点击 保存最精准双色球预测专家集。

您可以使用先前最精准双色球预测专家集测试中使用的同一台域PC再次测试此最精准双色球预测专家,并将其插入我们先前配置的交换机的dot1x端口之一。这样做后,导航到 运作方式>RADIUS Livelog 在ISE中。

如果尚未登录PC但已打开PC,则应该看到仅AD授权配置文件已分配给端点:

登录计算机后,您应该看到配置文件更改和基于您以以下身份登录的用户所授予的访问权限:

我们的dot1x政策创建到此结束!在这篇文章中,我们做了很多事情:我们创建了可重用条件,将要在其他最精准双色球预测专家中使用的DACLS和授权配置文件。之后,我们结合使用了这些最精准双色球预测专家元素来创建我们的最精准双色球预测专家,然后对其进行测试。